DHCP配置阻止私接小路由乱分配IP地址

汇聚层交换机DHCP配置命令

dhcp enable //开启DHCP服务
ip pool 10 //地址池名字
 gateway-list 192.168.10.3 //网关
 network 192.168.10.0 mask 24 //网段
 excluded-ip-address 192.168.10.1 192.168.10.2 //分配时排除的IP地址
 excluded-ip-address 192.168.10.99 192.168.10.199
 lease day 0 hour 20 minute 0 //租期
 dns-list 8.8.8.8 //配置DNS
 domain-name abc.com //配置域名
quit
interface vlanif 10 //vlan10的用户从全局地址池获取地址
 dhcp select global //开启全局模式
quit
接入层交换机开启DHCP Snooping和IPSG。
//连接终端的接口开启DHCP Snooping功能
dhcp enable
dhcp snooping enable
port-group group-member Ethernet 0/0/1 to Ethernet 0/0/22
 dhcp snooping enable
quit

//连接DHCP服务器的接口开启DHCP Snooping功能,并配置为信任接口
interface GigabitEthernet 0/0/1
 dhcp snooping enable
 dhcp snooping trusted //接口配置成信任接口,该交换机只信任这个接口分配的IP
quit
//配置IPSG(需开启DHCP Snooping),该接入层交换机从vlan10收到报文后与动态绑定表项进行匹配,丢弃不匹配报文
vlan 10
ip source check user-bind enable
quit

为什么要开启,因为可以防止其他设备如路由器接入后开启DHCP会导致合法用户获得该DHCP分配的不合法IP,从而可能不能正常上网。总之作用是屏蔽接入网络中的非法的 DHCP 服务器。即开启 DHCP Snooping 功能后,网络中的客户端只有从管理员指定的 DHCP 服务器获取 IP 地址。
IPSG是一种基于 IP/MAC 的端口流量过滤技术,它可以防止局域网内的 IP 地址欺骗攻击。IPSG 能够确保第 2 层网络中终端设备的 IP 地址不会被劫持,而且还能确保非授权设备不能通过自己指定 IP 地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。

点赞